유럽의 기로: 아동 안전 법안이 디지털 프라이버시의 미래를 시험대에 올리다
유럽연합(EU)이 기술 기업들에게 개인 메시지 스캔을 의무화하려는 계획이 결정적인 표결을 앞두고 있으며, 비판론자들은 이 법안이 유럽인들의 휴대전화를 거대한 감시 시스템의 중추로 만들 수 있다고 경고한다.
브뤼셀 — 오는 10월 13일, 유럽연합(EU) 전역의 법무부 장관들이 비공개 회의에 모여 5억 명의 사람들에게 영향을 미칠 수 있는 딜레마에 직면할 예정이다. 핵심 질문은 간단해 보인다: 기업들이 아동 학대 자료를 찾아내기 위해 개인 메시지를 스캔하도록 강제해야 하는가? 현실은 결코 간단하지 않다.
이 제안은 유럽의 통상적인 디지털 권리 합의를 완전히 깨뜨려 놓았다. 지지자들은 자동 스캔이 온라인 포식자로부터 아동을 보호하는 데 필수적이라고 주장한다. 반대자들은 이것이 암호화를 무력화하고 모든 사람의 사생활을 정부의 감시(사찰)에 노출시킬 것이라고 강조한다.
논의 대상은 단순히 법안이 아니다. 이는 인터넷 기반 시설의 재설계에 해당한다.
비판론자들이 "채팅 감시(Chat Control)"라고 부르는 아동 성학대 방지 규제 초안은 이른바 "클라이언트 측 스캔(client-side scanning)"을 의무화할 것이다. 이는 암호화가 메시지와 사진을 뒤섞기 전에 사용자 휴대전화나 노트북이 모든 메시지와 사진을 검사한다는 의미다. 사실상 개인적인 대화는 사용자 기기 내에서 보이지 않는 검문소를 통과하게 되는 것이다.
협상이 진행 중이라 익명을 요구한 한 EU 고위 관계자는 직설적으로 말했다. "메시지를 사전 스캔하면서도 여전히 종단간 암호화(end-to-end encrypted)되었다고 주장할 수는 없습니다. 이것은 근본적으로 메시지의 범주를 바꾸는 일입니다."
법안은 어떻게 작동할 것인가
일바 요한손 집행위원은 2022년 5월 이 계획을 도입했다. 이 계획에 따르면 법원은 '탐지 명령(detection orders)'을 발령하여 메시징 앱, 이메일 서비스 및 클라우드 스토리지 제공업체가 다음 세 가지를 찾아내도록 법적으로 의무화한다: 알려진 학대 이미지, 새로운 학대 자료, 그리고 그루밍 행위.
서류상으로는 이 시스템이 깔끔해 보인다. 알고리즘은 파일을 알려진 이미지 데이터베이스와 비교하고, 머신러닝은 새로운 학대 콘텐츠를 찾아내려 하며, 패턴 매칭 도구는 그루밍과 유사한 대화를 탐색한다. 의심스러운 발견은 새로운 EU 센터로 전달되며, 이 센터는 경찰에 알리기 전에 조사 결과를 재확인할 것이다.
이메일 제공업체나 소셜 네트워크의 경우 관리 가능한 것처럼 들릴 수 있다. 이들 중 다수는 이미 불법 콘텐츠를 스캔하고 있기 때문이다. 그러나 왓츠앱, 시그널, 아이메시지 같은 종단간 암호화 앱은 회사 서버에서 스캔할 수 없다. 메시지는 전송되는 순간부터 암호화되기 때문이다. 규정을 준수하려면 이러한 앱들은 사용자 휴대전화 자체에서 스캔해야 할 것이다.
그리고 바로 이 지점에서 정치가 기술(수학)과 충돌한다.
곳곳의 경고 신호
유럽 자체의 법률 감시 기관들도 불안해하고 있다. 유럽 데이터 보호 감독관(European Data Protection Supervisor)과 유럽 데이터 보호 위원회(European Data Protection Board) 모두 전면적인 스캔이 EU 헌장(EU Charter)에 따른 개인 정보 보호 및 데이터 보호에 대한 기본권을 침해할 수 있다고 경고했다.
평소 신중한 태도를 보이는 유럽연합 이사회 법률 서비스(Council Legal Service)조차 그러한 명령이 EU의 비례성 원칙 심사(proportionality tests)를 통과할 수 있을지에 의문을 제기했다. EU 최고 법원들은 무차별적인 통신 감시를 반복적으로 기각해왔다.
기술 전문가들은 더 구체적인 문제에 대해 우려한다. 만약 사용자 기기가 메시지를 보내기 전에 지속적으로 검사한다면, 애초에 이 기기를 완전히 신뢰할 수 없게 된다. 해커, 권위주의 정부, 또는 스캔 시스템을 악용할 수 있는 모든 이들이 사생활에 대한 새로운 침투 경로를 얻게 될 것이다.
한 디지털 권리 단체의 분석에 따르면: 일단 스캔 파이프라인이 구축되면, 입법자들이 그 적용 범위를 확대하는 것을 막을 수 있는 것은 아무것도 없다. 오늘은 아동 학대 자료지만, 내일은 테러, 저작권, 또는 반대 의견이 될 수도 있다.
추진론자들의 주장
그럼에도 불구하고, 지지자들은 아무것도 하지 않을 경우의 위험이 너무 크다고 주장한다. 유럽 전역의 경찰은 기술 기업들로부터의 제보가 이미 수사에 결정적인 역할을 한다고 말한다. 만약 스캔 없이 암호화가 확산된다면, 당국은 "암흑 상태(go dark)"에 빠져 눈앞에서 벌어지지만 깨지지 않는 암호화 뒤에 숨겨진 범죄들을 놓치게 될 것이라고 그들은 경고한다.
지지자들은 이 계획이 대량 감시가 아니라 표적화된 도구라고 말한다. 탐지 명령은 사법부의 승인을 필요로 할 것이다. EU 센터는 경찰에 보고되기 전에 오인 경보(false alarms)를 걸러낼 것이다. 그리고 그 범위는 아동 대상 범죄로 제한될 것이다.
비판론자들은 납득하지 못한다. 수천 건의 불법 통신을 찾아내기 위해 수십억 건의 개인 통신을 검사하는 것은 필연적으로 오류를 발생시킬 것이다. 99% 정확한 시스템이라 할지라도 매일 수천 건의 허위 고발(false accusations)을 만들어낼 것이다. 이는 무고한 부모, 언론인, 또는 학대 생존자들이 자신들의 사적인 대화가 당국에 신고되는 상황을 겪을 수 있다는 의미다.
그루밍 탐지는 훨씬 더 큰 의문을 제기한다. 이미지 매칭과 달리, 약탈적인 대화를 포착하려면 어조, 맥락, 미묘한 언어적 단서들을 분석해야 한다. 현재의 AI 도구들은 대규모 환경에서 이러한 미묘한 차이를 파악하는 데 어려움을 겪으며, 전문가들은 그러한 시스템의 오남용을 막을 안전장치가 있을지 의심한다.
10월의 전환점
덴마크 이사회 의장국은 타협안을 통해 교착 상태에 빠진 제안을 되살리기 위해 강력히 추진하고 있다. 그러나 단합은 요원하다. 독일과 룩셈부르크는 때로는 개인 정보 보호 우려를 표명하고 때로는 입장을 완화하면서 흔들리고 있다. 필요한 가중 다수결(qualified majority)을 얻을 만큼 충분한 국가가 지지할지는 아무도 예측할 수 없다.
장관들은 다음 세 가지 결과 중 하나를 얻게 될 수 있다:
- 알려진 이미지만을 탐지 대상으로 제한하고 암호화된 앱은 현재로서는 건드리지 않는 완화된 버전.
- 자발적 스캔은 지속되면서 결정을 차기 이사회로 미루는 지연.
- 또는 클라이언트 측 스캔을 전면 수용하여 즉각적인 소송을 촉발하고 주요 메시징 앱들이 규정 준수, EU 시장 철수, 또는 특정 기능 차단 중 하나를 선택하도록 강제하는 것.
유럽을 넘어 중요한 이유
유럽이 어떤 결정을 내리든, 그 파급 효과는 훨씬 광범위하게 퍼질 것이다. EU가 클라이언트 측 스캔을 요구한다면, 이는 개인 기기에 직접 내장되는 세계 최초의 법적 의무 감시 계층을 만들게 될 것이다. 다른 정부들도 이를 따르거나 저항할 수 있다. 기술 기업들은 지역별로 다른 버전의 앱을 만들게 될 수도 있다. 전 세계적인 암호화 메시징 네트워크는 국경을 따라 분열될 수 있다.
일반 사용자들에게는 언뜻 보기에 큰 변화가 없을 것이다. 메시지는 여전히 도착하고 사진은 여전히 전송될 것이다. 그러나 그 이면에서는 각 단어, 이미지 또는 비디오가 암호화로 가려지기 전에 조용히 검사될 것이다.
이러한 현실은 시민사회 단체들을 분주하게 만들고 있다. 활동가들은 정부에 로비하고 있다. 프라이버시 단체들은 소송을 준비 중이다. 보안 연구자들은 위험에 대해 계속 경고하고 있다. 하지만 온라인 아동 학대에 대해 "뭔가를 해야 한다"는 정치적 압력은 여전히 거세다.
유럽은 이제 냉엄한 질문에 직면해 있다: 아동 보호라는 명분으로 디지털 사회의 기반에 감시를 심을 것인가, 아니면 특정 프라이버시 경계선은 결코 넘어서는 안 된다고 결정할 것인가?
우리는 곧 더 많은 것을 알게 될 것이다. 법무부 장관들은 10월 13일 브뤼셀에서 만난다. 그들의 선택은 향후 수십 년간 글로벌 디지털 프라이버시의 방향을 결정할 수 있다.